Security

Compromission npm Axios : guide de mitigation

2 min de lecture

Résumé

Microsoft a averti que les versions malveillantes d’Axios sur npm 1.14.1 et 0.30.4 ont été utilisées dans une attaque de la chaîne d’approvisionnement attribuée à Sapphire Sleet. Les organisations utilisant les packages affectés doivent immédiatement faire une rotation des secrets, revenir à des versions sûres et examiner les postes développeur ainsi que les systèmes CI/CD pour détecter toute compromission.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a révélé une grave compromission de la chaîne d’approvisionnement npm affectant Axios, l’une des bibliothèques HTTP JavaScript les plus utilisées. Comme Axios est couramment installé sur les postes de travail des développeurs et dans les pipelines CI/CD, cet incident a de larges implications pour la sécurité de la chaîne d’approvisionnement logicielle dans les environnements Windows, macOS et Linux.

Ce qui s’est passé

Deux versions malveillantes du package Axios ont été publiées le 31 mars 2026 :

Selon Microsoft Threat Intelligence, ces versions ont ajouté une dépendance malveillante, [email protected], qui exécutait un script post-install lors de npm install ou des mises à jour du package. Le hook d’installation contactait une infrastructure contrôlée par l’acteur et téléchargeait un cheval de Troie d’accès à distance (RAT) de second niveau.

Microsoft attribue la campagne à Sapphire Sleet, un acteur étatique nord-coréen.

Principaux détails techniques

  • Le code source d’Axios lui-même serait resté inchangé.
  • Le comportement malveillant a été introduit via une technique d’insertion de dépendance.
  • Les environnements affectés incluaient les postes développeur et les systèmes CI/CD.
  • Les charges utiles étaient adaptées selon le système d’exploitation :
    • Windows : RAT basé sur PowerShell avec persistance via la clé de registre Run
    • macOS : binaire natif déposé dans /Library/Caches
    • Linux/other : charges utiles de suivi spécifiques à la plateforme
  • Le malware communiquait avec une infrastructure malveillante connue liée à Sapphire Sleet.

Pourquoi cela importe pour les équipes IT et sécurité

Cette attaque montre comment des packages open source de confiance peuvent être détournés sans modification évidente de l’application. Même si les applications semblent fonctionner normalement, la compromission peut toujours se produire au moment de l’installation, permettant aux attaquants de voler des secrets, d’établir une persistance et de progresser plus profondément dans les environnements d’entreprise.

Pour les administrateurs, les principaux risques sont :

  • Compromission des identifiants et tokens des développeurs
  • Exposition de secrets dans les systèmes de build
  • Exécution de malware sur les agents CI/CD
  • Points d’ancrage persistants sur les appareils Windows gérés

Actions recommandées

Les organisations ayant installé les versions affectées d’Axios doivent agir immédiatement :

  1. Revenir à des versions sûres d’Axios :
    • 1.14.0
    • 0.30.3
  2. Faire une rotation des secrets et des identifiants susceptibles d’avoir été exposés.
  3. Désactiver les mises à jour automatiques pour les packages Axios jusqu’à ce que les environnements soient vérifiés comme sains.
  4. Inspecter les systèmes de développement et de build pour détecter des signes de compromission, en particulier les mécanismes de persistance et l’exécution de scripts suspects.
  5. Utiliser les détections Microsoft Defender et les conseils de chasse de l’avis Microsoft afin d’identifier les composants malveillants et les hôtes affectés.

En résumé

La compromission npm d’Axios rappelle que la gestion des packages et les pipelines CI/CD sont désormais des surfaces d’attaque majeures. Les équipes sécurité doivent traiter les installations affectées comme de potentielles compromissions d’endpoints et d’identifiants, et non comme un simple problème de package.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Threat Intelligence and Microsoft Defender Security Research Team
Axiosnpmsupply chain attackSapphire SleetMicrosoft Defender

Articles connexes

Security

Préparation sécurité infrastructures critiques 2026

Microsoft indique que le modèle de menace visant les infrastructures critiques est passé d’attaques opportunistes à des accès persistants, pilotés par l’identité, conçus pour perturber ultérieurement les opérations. Pour les responsables IT et sécurité, le message est clair : réduire l’exposition, renforcer l’identité et valider dès maintenant la préparation opérationnelle, alors que la réglementation et l’activité des États-nations s’intensifient.

Security

Fondamentaux de la sécurité IA : guide CISO

Microsoft conseille aux CISO de sécuriser les systèmes d’IA avec les mêmes contrôles de base qu’ils appliquent déjà aux logiciels, aux identités et aux accès aux données. Les recommandations mettent en avant le moindre privilège, les défenses contre l’injection de prompt et l’usage de l’IA elle-même pour détecter les problèmes d’autorisations avant les attaquants ou les utilisateurs.

Security

WhatsApp Malware Campaign Uses VBS and MSI Backdoors

Les experts Microsoft Defender ont mis au jour campagne de fin février 2026 qui utilise des messages WhatsApp pour diffuser des fichiers VBS malveillants, puis installe des packages MSI non signés pour la persistance et l’accès à distance. L’attaque combine ingénierie sociale, utilitaires Windows renommés et services cloud fiables pour échapper à la détection, rendant essentiels les contrôles des endpoints et la sensibilisation des utilisateurs.

Security

Microsoft Copilot Studio face aux risques OWASP IA agentique

Microsoft explique comment Copilot Studio et la disponibilité générale prochaine d’Agent 365 peuvent aider les organisations à traiter le Top 10 OWASP des applications agentiques. Ces recommandations sont importantes, car les systèmes d’IA agentique peuvent utiliser de véritables identités, données et outils, créant des risques de sécurité bien au-delà de simples réponses inexactes.

Security

{{Protection HVA Microsoft Defender contre attaques}}

Microsoft a expliqué comment Microsoft Defender utilise la connaissance des actifs à forte valeur pour détecter et bloquer les attaques visant les contrôleurs de domaine, les serveurs web et l’infrastructure d’identité. En combinant le contexte de Security Exposure Management avec des détections différenciées et une interruption automatisée, Defender peut renforcer les niveaux de protection des actifs Tier-0 et réduire l’impact des intrusions sophistiquées.

Security

Sécurité des identités Microsoft Entra : nouveautés RSAC 2026

Microsoft positionne la sécurité des identités comme un plan de contrôle unifié qui combine l’infrastructure d’identité, les décisions d’accès et la protection contre les menaces en temps réel. Lors de la RSAC 2026, l’entreprise a annoncé de nouvelles capacités Microsoft Entra et Defender, notamment un tableau de bord de sécurité des identités, un score de risque unifié des identités et une remédiation adaptative du risque pour aider les organisations à réduire la fragmentation et à réagir plus rapidement aux attaques basées sur l’identité.